Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
01.04.2016 © IKARUS Security Software GmbH 1
"Malwareindustrie und ihre Angriffsmethoden“ Ein kurzer Einblick…
EDU Days Krems, 30.03.2016
DI Christoph Barszczewski Business Relation Manager
IKARUS Security Software GmbH Blechturmgasse 11
1050 Wien
01.04.2016 © IKARUS Security Software GmbH 2
Aus dem Inhalt
Malware-Business & Cashflow: Angreifer und Motive
Aktuelle Angriffsmethoden: Beispiel 1 – Ransomware und
Cryptolocker
Aktuelle Angriffsmethoden: Beispiel 2 – Scamming für Anfänger
IKARUS für Schulen, IT-BetreuerInnen, IT-Kustoden, LehrerInnen
…
01.04.2016 © IKARUS Security Software GmbH 3
DI Christoph Barszczewski, IKARUS Security Software GmbH:
„Ein Flugzeug am Boden ist 100% sicher, aber dafür nicht geschaffen! “ „Ein Computer kann nicht 100% sicher sein!“
Foto
Ch
ris
Bar
szcz
ewsk
i
01.04.2016 © IKARUS Security Software GmbH 4
Malwareindustrie?
Malwareindustrie = Raubrittertum 2.0
01.04.2016 © IKARUS Security Software GmbH 5
Script-Kiddie Hobbyist Hacker Specialist Expert
Curiosity
Personal Fame
Personal Gain
Business Interest
Vandal
Spy
Author
Thief
Trespasser
Government Interest
Geld
Geld
Geld
Malware als Business, Malware als Business, Malware als Business,
01.04.2016 © IKARUS Security Software GmbH 6
Malware Business & Cashflow
01.04.2016 © IKARUS Security Software GmbH 7
Malware Business & Cashflow – Beispiel:
01.04.2016 © IKARUS Security Software GmbH 8
01.04.2016 © IKARUS Security Software GmbH 9
Malware Business & Cashflow
Cytadel – ein Beispiel der Internationalisierung:
1. Cytadelentwickler: Brasilien 2. Botnetzvertreiber: Niederlande 3. Exploit: Russland 4. C&C Server: Russland/Indien 5. Ransome Trojaner: aus USA 6. Ransome Trojaner Vertrieb: China 7. Geldüberweisungen: Nigeria 8. Geldtransfer: Estonien/Usbekistan
01.04.2016 © IKARUS Security Software GmbH 10
Malware Business & Cashflow
Neue Berufsgruppen und Marktsegmente:
• Exploit Writer / Kit Operator • Malware Writer • Botnet Operator • Malicious Web Hoster / Website Hijacker • Malicious ISP / DNS Operator • C & C Host / Operator • Pisher & Pharmer • Spam Content Provider …
01.04.2016 © IKARUS Security Software GmbH 11
Malware Business & Cashflow
Catch me if you can …
Automatisierung Arbeitsteilung und Modularisierung Malware als Produkt
01.04.2016 © IKARUS Security Software GmbH 12
Wer taugt als Opfer für Ransomware?
Generell:
Jeder der Geld hat und bereit ist aus welchem Grund auch
immer Lösegeld zu zahlen!
01.04.2016 © IKARUS Security Software GmbH 13
Ransomware - Angriffsziele
Betriebssysteme: Windows, Linux, AndroidOS, iOS (Jail Broken)
Privatanwender: • kein Backups, oder • USB HDs, welche an Geräte direkt angeschlossen sind
• Wichtige Dateien wie persönliche Zahlungsbestätigungen, Zugangsdaten, Diplomarbeiten bis zu Manuskripten
Firmen: • Backup UND Desaster Recovery als Fremdwort?
• Backup zwar vorhanden aber für die aktuelle Szenarien nicht ausreichend
Zahlungsmethode: • Locker Ransomware / Voucher Codes (ukashi, usw.) • Crypto Ranssomware / Bitcoin
2015 über 118.000 neue Ransomvarianten (binaries) pro Monat • Locker Varianten 37%
• Crypto Varianten 63 %
01.04.2016 © IKARUS Security Software GmbH 14
Ransomware
Gib es in 2 Ausprägungen:
Lockerware
• sperrt den Zugriff
Cryptoware
• verschlüsselt die Dateien
01.04.2016 © IKARUS Security Software GmbH 15
Lockerware
Zugriff auf Computer/Device wird „gesperrt“
Dateien des Users selbst bleiben unberührt
Verteilung: über Websites, seltener über E-Mail-Anhänge
Preise variiert je Variante und Land zwischen 40 und 100 €
Mindestens 15% der Privatpersonen mit infizierten Rechnern
zahlen das Lösegeld
Leicht zu entfernen (Rechner zurücksetzen, executable aus
„appdata/local/temp“ entfernen …)
01.04.2016 © IKARUS Security Software GmbH 16
BP Trojaner – Varianten/Unterschiede: Stichprobe aus unserem Sample-Set
01.04.2016 © IKARUS Security Software GmbH 17
Lockerware
1.01 1.02 1.03
Support Forum Support Forum Support Forum
1.04 1.05 1.06
Support Forum Support Forum Support Forum
1.07 1.08 1.09
Support Forum Support Forum Support Forum
1.10 1.11 1.12
Support Forum Support Forum Support Forum
1.13 1.14 1.15
Support Forum Support Forum Support Forum
GEMA / SUISA / GVU
2.01 2.02 2.03
Support Forum Support Forum Support Forum
2.04 2.05 2.06
Support Forum Support Forum Support Forum
2.07 2.08 2.09
Support Forum Support Forum Support Forum
Sonstige
3.01 3.02 3.03
Support Forum Support Forum Support Forum
3.04 3.05
Support Forum Support Forum
Konferenz-, Seminartitel
01.04.2016 © IKARUS Security Software GmbH 18
Cryptoware
Verschlüsselt Daten auf PCs, Servern, in Netzlaufwerken und Mobilen Devices
Verbreitung meistens über Spams als Links(www.badurl.xxx) oder Anhänge (rechnung.doc.zip)
Geräte nach Infektion beschränkt nutzbar
Preis 300 – 4500 €
Zahlung: BTC, aktuell oft via TOR
Verschlüsselung anhand symmetrischer und asymetrischer Schlüssel nur unter extremem Aufwand oder gar nicht möglich (2048 Bit Schlüssel)
01.04.2016 © IKARUS Security Software GmbH 19
Cryptolocker grüßt aus Vorarlberg
„Hallo Christoph,
Leider habe ich an einer Schule bereits Kontakt mit so einem Verschlüsselungsvirus gehabt.
Eine Lehrerin hat einen E-Mailanhang (via GMX-Webmail) mit .js Anhang geöffnet und der
Dropper hat die Schadsoftware nachgeladen. Dann wurden alle erreichbaren Ordner
verschlüsselt. Das (aktuelle) Antivirenprogamm (Microsoft Endpoint Protection) erkannte den
Schädlich nicht, erst am nächsten Tag und hält seitdem die INFO-Textdatei, wie man das Geld
zahlen soll, hartnäckig für einen Virus ;-) “
01.04.2016 © IKARUS Security Software GmbH 20
Ablauf einer Infektion
SPAM-Mail mit badurl.xx oder Anhang
User-Interaktion (Layer 8 – zwischen den Ohren)
01.04.2016 © IKARUS Security Software GmbH 21
Anruf bei IT-Support oder IT-
Betreuer
Böses erwachen
Dilema: to do or not to do?
Beispieldateien entschlüsseln
lassen
Zahlen
Hoffen …
01.04.2016 © IKARUS Security Software GmbH 22
TOR Network: The Onion Routing Network
Darknet und Malware-Business …
The Hidden Wiki: http://kpvz7ki2v5agwt35.onion
01.04.2016 © IKARUS Security Software GmbH 23
Underground Marketplaces
01.04.2016 © IKARUS Security Software GmbH 24
Darknet und Malware-Business
01.04.2016 © IKARUS Security Software GmbH 25
„Lieferung“ TESLA Crypt
Verschickt nur 1 Mail pro Rechner um die Virenscanner
und Spamfilter umzugehen: geringe Versandmenge
(zw. 100-500 Mails pro Welle – dafür bis 50 Wellen pro
Stunde)
Keine EXE/ ZIP-Dateien sondern ein JavaScript als Erstinfektor (dropper) – die eigentliche Malware wird erst nachgeladen
01.04.2016 © IKARUS Security Software GmbH 26
Die neueste Generation der Cryptoware
erzwingt vom Opfer auch die Installation
eines TOR-Browsers, um via TOR eine
Website für weitere Informationen/
Vorgehensweisen aufzusuchen.
Fazit:
Massive Erschwernis für
Strafverfolgung und forensische
Analysen
Erschwerte Spurensuche:
01.04.2016 © IKARUS Security Software GmbH 27
01.04.2016 © IKARUS Security Software GmbH 28
Maßnahmen Installieren und aktualisieren Sie AntiViren-Software, SPAM-Filter, Firewall und IPS so oft wie möglich.
Konfigurieren Sie SPAM-/Viren-Filter so, dass JavaScript-Inhalte von nicht vertraulichen Quellen
geblockt werden (noscript)
Hindern Sie, wenn möglich, JavaScript am automatischen Ausführen (direkt im SPAM-Filter oder am
Mailserver bzw. im E-Mail-Programm).
Löschen Sie Mails mit Links und Anhängen nicht bekannter Absender bzw. nicht erwartete
Nachrichten im Zweifelsfall.
Halten Sie Betriebssysteme, Webbrowser, Java, Flash immer auf dem neusten Stand.
Hindern Sie die Verzeichnisse %AppData% und %Startup% am Ausführen von unbekannten
Executables.
Deaktivieren Sie Makros oder verwenden Sie nur entsprechend signierte Makros.
Informieren Sie sich und Ihre Mitarbeiter über die aktuellen Gefahren.
Legen Sie aktuelle Backups an und bewahren Sie diese getrennt vom Rechner/Netzwerk auf.
01.04.2016 © IKARUS Security Software GmbH 29
01.04.2016 © IKARUS Security Software GmbH 30
Ohne Virenschutz online zu gehen ist mittlerweile grob fahrlässig,
Ohne Virenschutz gefährdet man mit seinem eigene System alle andere – es wäre so wie mit einem Auto dessen Bremsen nicht richtig funktionieren am Verkehr teilzunehmen,
Es ist unverantwortlich den Daten gegenüber, die man anvertraut bekommt. Wenn Schüler ausspioniert werden oder mit kriminellen Inhalten konfrontiert werden (wie Hass, Rassismus, Porno, Kinderporno), hört sich der Spaß schnell auf,
Wenn herauskommt das Schulen ungeschützt im Netz sind – wird jeder Pädophile und sonstige Spinner sofort dorthin Kontakt aufnehmen
Last but not least
Die Schulen sollen die jungen Menschen aufs Leben vorbereiten. Ihnen zu vermitteln dass es OHNE Virenschutz/Security/Datenschutz geht – wäre katastrophal !
01.04.2016 © IKARUS Security Software GmbH 31
- Zeitaufwand?
- IT-Security Know how?
- Viele Benutzer mit wenig Bewusstsein über die Probleme und
wenig Awareness,
- ….
01.04.2016 © IKARUS Security Software GmbH 32
IKARUS für Schulen und Kustoden
01.04.2016 © IKARUS Security Software GmbH 33
IKARUS Sonderlizenzen
Gibt es speziell im Schulbereich für:
1. Schulen
2. Sonderlizenzen für IT-Betreuer und Kustoden
3. Lehrer und Schüler
01.04.2016 © IKARUS Security Software GmbH 35
Quelle: Virus Bulletin
01.04.2016 © IKARUS Security Software GmbH 36
01.04.2016 © IKARUS Security Software GmbH 37
01.04.2016 © IKARUS Security Software GmbH 38
Ein IKARUS Produkt Ihrer Wahl, zum Beispiel: IKARUS security.manager inklusive IKARUS anti.virus,
oder IKARUS mail.security CS, oder IKARUS web.security CS oder GS,
Lizenzgröße Anzahl PCs
1 JAHR Preis brutto
3 JAHRE Preis brutto
IKARUS Schullizenz 1 1 bis 10 € 120,00 € 192,00
IKARUS Schullizenz 2 11 bis 25 € 288,00 € 460,80
IKARUS Schullizenz 3 26 bis 50 € 312,00 € 499,20
IKARUS Schullizenz 4 51 bis 100 € 499,20 € 798,72
IKARUS Schullizenz 5 101 bis 250 € 960,00 € 1.536,00
IKARUS Schullizenz 6 251 bis 400 € 1440,00 € 2.304,00
IKARUS Schullizenz 7 401 bis 800 € 1920,00 € 3.072,00
IKARUS Schullizenz 8 über 800 € 2784,00 € 4.454,40
http://www.ikarussecurity.com/fileadmin/user_upload/IKARUS_Schullizenzen2016.pdf
01.04.2016 © IKARUS Security Software GmbH 39
Bundle aus zwei IKARUS Produkten Ihrer Wahl, zum Beispiel: IKARUS Schullizenz Kombi II (ISM + IKARUS mail.security), IMSUITE II
oder
IKARUS Schullizenz Kombi III (ISM + IKARUS web.security), IMSUITE III
Lizenzgröße Bezeichnung Anzahl PCs
Preis gesamt brutto 1 Jahr
Preis gesamt brutto 3 Jahre
IKARUS Schullizenz Kombi 1 SC_KOM_1 1 bis 10 € 168,00 € 268,80
IKARUS Schullizenz Kombi 2 SC_KOM_2 11 bis 25 € 403,20 € 645,12
IKARUS Schullizenz Kombi 3 SC_KOM_3 26 bis 50 € 436,80 € 931,84
IKARUS Schullizenz Kombi 4 SC_KOM_4 51 bis 100 € 698,88 € 1118,16
IKARUS Schullizenz Kombi 5 SC_KOM_5 101 bis 250 € 1344,00 € 2150,40
IKARUS Schullizenz Kombi 6 SC_KOM_6 251 bis 400 € 2016,00 € 3225,60
IKARUS Schullizenz Kombi 7 SC_KOM_7 401 bis 800 € 2688,00 € 4300,80
IKARUS Schullizenz Kombi 8 SC_KOM_8 über 800 € 3897,60 € 6236,40
http://www.ikarussecurity.com/fileadmin/user_upload/IKARUS_Schullizenzen2016.pdf
01.04.2016 © IKARUS Security Software GmbH 40
Als IT-Betreuer und Kustode sind Sie für die KollegInnen,
LehrerInnen und SchülerInnen ein Vorbild in Sachen Umgang mit
der IT-Security. Um Ihnen dies zu erleichtern kommen wir von
IKARUSe Ihnen mit dem folgenden Sonderangebot entgegen:
-50%Rabatt auf unsere regulären Preise,
Diese vergünstigte Lizenzen gelten für Sie zur privaten und
beruflichen Verwendung.
Telefonischer Support direkt aus Wien in dem Angebot inbegriffen
01.04.2016 © IKARUS Security Software GmbH 41
Endpoint Protection: IKARUS anti.virus bis 3 PCs im Haushalt Sonderlizenz für die IT-Betreuer des Landes Niederösterreich
3 Jahre 5 Jahre
Listenpreis Angebotspreis Listenpreis Angebotspreis
€ 65,28 € 32,64 € 81,60 € 40,80
Zum Beispiel:
Diese Preise sind bereits inklusive
MwSt. Im Preis inbegriffen:
Alle Softwareupgrades und Updates
während der Laufzeit
Telefonischer Support direkt aus
Wien 01 58995 DW 400
01.04.2016 © IKARUS Security Software GmbH 42
Bestellung: erfolgt auf Rechnung. Bestellungen per E-Mail an IKARUS [email protected] oder [email protected] Lieferung: Rechnung und Lizenzdatei als Aktivierungscodes elektronisch per E-Mail, Die Lizenz kann zu einem späteren Zeitpunkt aktiviert werden. Fragen: IKARUS Security Software GmbH, Blechturmgasse 11, 1050 Wien; Ansprechpartner Christoph Barszczewski [email protected] Tel. 01 58995 DW 157; Fax 01 58995 DW 100
01.04.2016 © IKARUS Security Software GmbH 43
http://www.ikarussecurity.com/fileadmin/user_upload/IKARUS_Schullizenzen2016.pdf
01.04.2016 © IKARUS Security Software GmbH 44
01.04.2016 © IKARUS Security Software GmbH 45
Danke!
Dipl. Ing. Christoph Barszczewski Business Relation Manager, Partner Betreuung
Tel. +43 (0)1 58995-157
[email protected] www.ikarussecurity.com